病毒别名：Win32.Netsky.Q [Kill], W32/Netsky.q@MM [McAfee]

处理时间：

威胁级别：★★★

中文名称：网络天空

病毒类型：Win32病毒

影响系统：Win9x/WinMe/WinNT/Win2000/WinXP

病毒行为:

这个病毒利用电子邮件和共享目录传播,传播的速度极快

该病毒利用自带的SMTP邮件引擎发送邮件

编写工具:VC++6.0

传染条件:通过邮件传播

发作条件:无

系统修改:

将自己拷贝到%SystemRoot%SysMonXP.exe

病毒会把代码解密，然后写到:%SystemRoot%userconfig9x.dll

病毒首先执行DLL文件的第一个功能,然后DLL文件就会继续执行

该病毒还会建立许多其他文件来传播自己:

%SystemRoot%ase64.tmp

%SystemRoot%zippedbase64.tmp

%SystemRoot%IPO0.TXT

%SystemRoot%IPO1.TXT

%SystemRoot%IPO2.TXT

%SystemRoot%IPO3.TXT

在注册表主键:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun

新建键值:

"SysMonXP"="%SystemRoot%SysMonXP.exe"

发作现象:

当Windows运行系统目录以外的命令时,病毒会执行下列命令:

notepad temp.eml

系统将提示错误信息,"temp.eml"文件不存在

特别说明:

该病毒通过搜索邮件地址的方式来得到发件人地址和收件人地址,或者发件人地址使用jena@yahoo.cz

如果日期在2004年4月8日到11日,病毒对下列地址进行攻击:

www.cracks.st

www.cracks.am

www.emule-project.net

www.kazaa.com

www.edonkey2000.com